Grype:容器镜像漏洞扫描,一条命令搞定

Grype:容器镜像漏洞扫描,一条命令搞定 文章目录Grype容器镜像漏洞扫描一条命令搞定这东西能扫什么用法有多简单凭什么它有优先级适合谁用Grype容器镜像漏洞扫描一条命令搞定做容器开发的同学应该都有体会镜像拉下来跑得挺欢但里面有没有漏安的依赖有没有已知 CVE一个个查太累不查又心里没底。Anchore 开源的 Grype 就是解决这个问题的。目前 GitHub 上 12,509 个 Star属于容器安全领域的标配工具之一。这东西能扫什么Grype 的核心能力就两句话扫镜像、扫目录告诉你里面有没有已知漏洞。支持的扫描对象挺全的容器镜像Docker、OCI 格式都行本地文件系统SBOM软件物料清单操作系统层面Alpine、Debian、Ubuntu、RHEL、Amazon Linux 这些主流发行版都支持。编程语言层面更广Java、Python、Go、Rust、PHP、JavaScript、.NET 全囊括了。用法有多简单安装就一行命令curl -sSfL https://get.anchore.io/grype | sudo sh -s -- -b /usr/local/bin扫一个镜像grype alpine:latest扫一个项目目录grype ./my-project如果你已经有 SBOM 文件也可以直接喂给 Grype 扫速度更快grype sbom:./sbom.json没有复杂配置装完就能用。凭什么它有优先级漏洞扫出来是一回事怎么排序处理是另一回事。Grype 集成了 EPSS漏洞利用预测评分系统和 KEV已知被利用漏洞目录结合风险评分帮你判断哪些漏洞最该优先处理。另外它还支持 OpenVEX 标准可以过滤和补充扫描结果——也就是说你可以在扫描结果里标记哪些漏洞已经被缓解了下次扫的时候不会再报。适合谁用如果你自己搭 CI/CD 流程Grype 可以嵌入 pipeline每次构建自动扫一遍镜像。如果你在管生产环境的容器也可以定期扫描运行中的镜像。工具本身是 Apache-2.0 开源协议不用考虑授权问题。Anchore 公司还在持续维护社区也很活跃定期有线上会议讨论功能走向。整体来说Grype 是个实在的工具装得快、用得简单、结果清晰。容器安全这件事有一个顺手的好工具比什么都强。。整体来说Grype 是个实在的工具装得快、用得简单、结果清晰。容器安全这件事有一个顺手的好工具比什么都强。